Vor wenigen Jahren mussten Zulieferbetriebe für jeden Autohersteller – oft mehrfach – belegen, dass ihre Compliance den Anforderungen an Informationssicherheit entspricht. Mit der Einführung des TISAX-Standards hat sich der Verband der Automobilindustrie auf einen gemeinsamen, zertifizierbaren Standard geeinigt. Für einen deutschen Automobilzulieferer war CyberRes – a Micro Focus Line of Business dabei eine entscheidende Hilfe. Deren Applikationen zur Datenanalyse und Verschlüsselung werden für den Lieferanten in den kommenden Jahren noch an Bedeutung zunehmen.
Die Zulieferbetriebe in der Automobilindustrie haben eine für Autofans beneidenswerte Position: Die Betriebe sind ganz nah dran an den neuesten Entwicklungen, neuen Modellen, Designs oder Studien. Bevor die einschlägige Presse „ganz exklusiv“ von den beklebten Erlkönigen auf den deutschen Teststrecken berichtet, haben die Zulieferer meist bereits ihre Arbeit getan. Während die Entwicklung eines PKW bis zu vier Jahre dauert, müssen die Zulieferbetriebe oft schon in den erst 1,5 Jahren alles zur Verfügung stellen.
Bevor es in die Produktion geht, ist die Arbeit der Zulieferer bereits getan.
Informationssicherheit – große Verantwortung für Automobilzulieferer
So auch ein deutscher Zuliefererbetrieb, der alle deutschen Autohersteller mit Interieurlösungen beliefert, die immer dort eingesetzt werden, wo der Mensch in Kontakt mit dem Fahrzeug tritt: Sitze, Türen, Lenkrad oder Schaltknauf. Diese herausragende Stellung im großen Produktentwicklungszyklus eines Wagens bringt für Zulieferer auch eine große Verantwortung beim Thema Informationssicherheit und Geheimhaltung mit sich.
In der Automobilbranche spielen IT und Cybersicherheit selbstverständlich generell eine große Rolle. Lieferanten und Dienstleister verarbeiten oft sensible Informationen und sind etwa in die Produktentwicklung involviert. Bis vor einiger Zeit prüften Hersteller ihre Lieferanten jeweils selbst nach dem Information Security Assessment (ISA). Das führte jedoch dazu, dass zahlreiche Lieferanten dieselbe Prüfung mehrmals – für jeden Auftraggeber – absolvieren mussten.
Daher haben der VDA (Verband der Automobilindustrie) in Zusammenarbeit mit der ENX Association Anfang 2017 den Prüf- und Austauschmechanismus TISAX (Trusted Information Security Assessment Exchange) ins Leben gerufen. Unternehmen lassen sich jetzt zertifizieren und können mit der Freischaltung der Ergebnisse ihren Geschäftspartnern oder allen teilnehmenden Unternehmen nachweisen, dass sie in puncto Informationssicherheit TISAX-konform agieren.
Datenschutz nicht nur für TISAX
Der Automobillieferant vertraut bereits seit Jahren auf die Zusammenarbeit mit Micro Focus, wenn es um das Handling der On-Premises befindlichen Daten am Stammsitz geht, aber auch um den Datenaustausch zwischen den weltweiten Firmenstandorten. Das verhältnismäßig kleine Team um den Leiter der technischen IT wandte sich allerdings mit dem Thema TISAX dezidiert an Micro Focus CyberRes, um die damals noch unübersichtliche Lage von verteilt liegenden Daten für die TISAX-Auditierung zu klären. Der Fokus hierbei liegt auf Vertraulichkeit und Schutz der Daten – einerseits in Zusammenarbeit mit den Autoproduzenten, andererseits aber auch für den Zulieferbetrieb selbst. Nicht erst seit der Datenschutz-Grundverordnung (DSGVO) ist das Thema Cyber-Reslilienz ein Thema, das jedes Unternehmen zwangsläufig beschäftigen muss, in dem Menschen ortsungebunden zusammenarbeiten.
„Wir setzen auf Micro Focus, weil unsere Kooperation extrem stabil und zuverlässig ist und sie uns 24/7 an 365 Tagen im Jahr unterstützen.“
Leiter technische IT
Analyse, Verschlüsselung und Kontrolle der Daten
Zum Einsatz kommen CyberRes-Lösungen wie die Voltage File Analysis Suite, um Daten zunächst zu inventarisieren und klassifizieren hinsichtlich deren Schutzfaktor: Sind es personenbezogene Daten, sensible Geschäftsdaten und ist eine Verschlüsselung gegen den Zugriff Dritter nötig? Dies zeigt sich etwa bei Dokumenten zu besagten neuen Fahrzeugmodellen oder Designstudien, die Hersteller den Zulieferern zur Verfügung stellen.
File Analysis Suite (FAS) ist eine SaaS-basierte Anwendung zur Identifizierung sensibler Daten und zur Erkennung von risikosensiblen Daten und Anomalien. FAS ermöglicht den Zugriff auf Daten über eine auf maschinellem Lernen basierende Klassifizierung nach Risiko- und Sicherheitsanforderungen. Unternehmen können somit ihre Data Governance als kontinuierlichen Prozess etablieren und auf ein sicheres Fundament stellen, um nachhaltig ihre Cyber-Resilienz zu stärken. Weitere Funktionen von FAS sind Daten-Mapping, Tagging sowie aktive oder passive Datenbereinigung.
Für die Verschlüsselung seiner unstrukturierten Daten und die Nachverfolgung nutzt der Zulieferer Voltage SmartCipher. Dieses Micro Focus CyberRes-Produkt erhöht die Transparenz und Kontrolle sensibler Daten mit der patentierten Transparent File Encryption-Technologie, in die eine Zugriffs- und Nutzungsrichtlinie eingebettet ist, die zentral verwaltet und lokal auf Dateiebene durchgesetzt wird. SmartCipher verfügt über eine integrierte Echtzeit-Überwachung der Dateinutzung und eine Warnfunktion, mit der Unternehmen feststellen können, wer, wann und wo auf Daten zugreift und diese verändert.
Aber Datenschutz bzw. -sicherheit sind zweifellos nicht nur in Bezug auf die TISAX-Zertifizierung wichtig. Auch interne Daten und Informationen müssen compliant behandelt werden. Die File Analysis Suite unterstützt die Einhaltung globaler Vorschriften, einschließlich DSGVO, GeschGehG, CCPA und vielen mehr. Datenschutzbestimmungen empfehlen Verschlüsselung, Pseudonymisierung und Anonymisierung zum Schutz personenbezogener Daten.
Webinar-Aufzeichnung: TISAX und die unstrukturierten Daten
Wie lässt sich herausfinden, welche Daten sensitiv sind und welche nicht? Wie können die Daten analysiert und ein zentraler Index erstellt werden, um handlungsfähig zu werden? Diese und weitere Fragen beantworteten Experten von Bader Leder, BMW Group sowie Micro Focus CyberRes in einer virtuellen Runde der automotiveIT. Schauen Sie sich die Aufzeichnung an und erfahren Sie, wie IT-Verantwortliche den speziellen Anforderungen an den Schutz von Informationen mit „hohem“ und „sehr hohem“ Schutzbedarf kontinuierlich gerecht werden können.
Nach TISAX ist vor dem Thema Rückverfolgbarkeit
Nach 12 Monaten hat der Automobilzulieferer das TISAX-Assessment höchst erfolgreich gemeistert – mit CyberRes als sehr wichtige Stütze und Unterstützung in diesem Zertifizierungsprozess.
„Die Unterstützung von Micro Focus CyberRes bei TISAX war sehr gut. Aber wir sehen die Zusammenarbeit mit ihnen ohnehin als eine gute Investition in die Zukunft. Das Thema Geschäftsgeheimnis und die Gewichtung des Datenschutzes und der Datensicherheit werden in den nächsten Jahren noch stark zunehmen.“
Leiter technische IT
Das Unternehmenswachstum, die zunehmenden nationalen und internationalen regulativen Anforderungen und wachsende Datenmengen bringen das Thema Informationssicherheit bei vielen Unternehmen ganz oben auf die Agenda. Ein Bereich, der auch für viele Zulieferer in den nächsten Jahren noch eine Herausforderung darstellt, ist die Rückverfolgbarkeit von Produkten bei der Herstellung.
Als Beispiel: Die wachsende Nachfrage der Kunden und folglich auch der Hersteller nach transparenten Supply Chains hat zur Folge, dass – ähnlich zum Frühstücksei in der Lebensmittelproduktion – beispielsweise auch verwendetes Material in Zukunft möglicherweise sogar Ausweis darüber geben muss, wo der Produktionszyklus begonnen hat. Dadurch entstehen neue Datenströme und vor allem Datenmengen, die für manche Firmen vollkommen neu sind, für die meisten aber auf jeden Fall eine Herausforderung darstellen.
Zusammen mit dem Micro Focus-Geschäftszweig CyberRes will sich der Zulieferer weiterentwickeln und in den nächsten Jahren verstärkt den Einsatz der File Analysis Suite nutzen, um diese Herausforderung wachsender Mengen an unstrukturierten Daten anzugehen.
Um weiterhin mit einem effizienten Team zukünftige Entwicklungen angehen zu können, hat der Automobilzulieferer nicht nur bei seiner TISAX-Zertifizierung auf die Kooperation mit CyberRes gesetzt. Der weltweit agierende Lederproduzent vertraut seit Jahren auf zuverlässige Arbeit und will auch in Zukunft mit Produkten von CyberRes seine Daten klassifizieren, verschlüsseln und unternehmensweit teilen – und dabei die Anforderungen der Automobilhersteller mit Leichtigkeit erfüllen. Die Rückverfolgbarkeit von Produkten stellt nun die nächste Herausforderung mit einem starken Anstieg der unstrukturierten Datenmengen aus diversen Quellen.
Weiterführende Ressourcen zum Thema Cyber-Resilienz
- Infoseite: Strengthen Your Cyber Resilience. Adapt with intelligence.
- IDC Market Spotlight: Are we Cyber-Resilient? The Key Question every organization must answer
- IDC Market Spotlight: Protection Strategies for a Cyber-Resilient Organization
- Kostenfreies Assessment: 360º Cyber Resilience Assessment
- Crowdstrike 2020 – Global Threat Report
- Market Research: IDG Cyber Security Studie 2020
- Kostenfreies E-Book: Enterprise and Cyber Resiliency
